Das Thema Datenschutz in Bezug auf Microsoft 365 ist in Fachkreisen umstritten und die Meinungen dazu sind gespalten. Es ist jedoch wichtig, sich nicht ausschliesslich auf Probleme zu konzentrieren, sondern auf Lösungen, um diese in den Griff zu bekommen. Stattdessen sollte man erkennen, dass eine angemessene Vorgehensweise es ermöglicht, die vielfältigen Vorteile von Microsofts Clouddiensten effektiv in den Arbeitsalltag zu integrieren.
Es ist durchaus möglich, die vielen Vorteile von Cloud-Diensten wie Microsoft 365 für Unternehmen zu nutzen. Dazu zählen unter anderem eine verbesserte Zusammenarbeit, erhöhte Flexibilität und Skalierbarkeit. Um diese Vorteile voll auszuschöpfen und gleichzeitig den Datenschutz zu gewährleisten, ist eine datenschutzkonforme Einrichtung und Verwaltung von Microsoft 365 notwendig.
In diesem Artikel erfahren Sie, wie Sie Microsoft 365 datenschutzkonform in den Arbeitsalltag Ihres Unternehmens integrieren können. Hier finden Sie die entscheidenden Schritte, um eine sichere und rechtskonforme Nutzung zu gewährleisten:
Die Wahl der passenden Microsoft 365-Lizenz ist ausschlaggebend, um sowohl den Bedürfnissen Ihres Unternehmens gerecht zu werden als auch die Datenschutzbestimmungen einzuhalten. Eine optimale Lizenzierung gewährleistet es, dass Sie nicht nur effizient und kostengünstig arbeiten können, sondern auch keine Kompromisse bei der Sicherheit Ihrer Daten eingehen müssen.
Eine empfehlenswerte Strategie insbesondere für Unternehmen ist eine Kombination aus „Microsoft 365 Business Premium“ für die Mitarbeiter und „Microsoft 365 E5“ für Administratoren zu wählen. „Microsoft 365 Business Premium“ bietet eine solide Grundlage für die tägliche Arbeit und Zusammenarbeit innerhalb Ihres Unternehmens. Diese Lizenz umfasst alle wesentlichen Tools, die für effiziente Kommunikation und Produktivität benötigt werden. Ergänzend dazu bietet die „Microsoft 365 E5“-Lizenz zusätzliche Sicherheits- und Compliance-Tools. Diese Erweiterungen sind besonders für Administratoren entscheidend, da sie umfangreichere Kontrollmöglichkeiten und Schutzmechanismen für Netzwerke und Unternehmensdaten bereitstellen.
Formularbeginn
Weitere Informationen zu den genannten Lizenzierungen und den spezifischen Features jeder Lizenzoption finden Sie direkt auf der Microsoft-Website unter: https://www.microsoft.com/de-de/microsoft-365/business/compare-all-microsoft-365-business-products?market=de und https://www.microsoft.com/de-de/microsoft-365/enterprise/microsoft365-plans-and-pricing?market=de
Verlassen Sie sich nicht ausschliesslich auf Ihren IT-Dienstleister. Als Vertragspartner tragen Sie letztlich die rechtliche Verantwortung.
Es ist von entscheidender Bedeutung, dass Sie sich vorher mit den Verträgen mit Microsoft, sowie mit den Bestimmungen der DSG und anderer relevanter Datenschutzgesetze auseinandersetzen. Nur so können Sie gewährleisten, die Richtige Lizenz für Ihr Unternehmen zu wählen und den Datenschutzbestimmungen zu entsprechen. Daher ist eine gründliche Überprüfung und sorgfältige Zusammenstellung der Auftragsbearbeitungsverträge unerlässlich. Die Verträge können Sie unter folgendem Link einsehen:
https://www.microsoft.com/licensing/docs
Die Beurteilung des ausländischen Lawfull Access ist für die datenschutzrechtliche Bewertung in der Schweiz von grosser Bedeutung. Es muss sichergestellt werden, dass der Zugriff auf Daten durch ausländische Behörden den strengen Schweizer Datenschutzgesetzen entspricht.
Eine fachgerechte Beratung zur optimalen Konfiguration Ihres Microsoft 365-Tenants ist essentiell, um Datenschutz und Sicherheit zu maximieren, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Zusätzlich ist es wichtig, Ihre Sicherheitseinstellungen regelmässig zu überprüfen und anzupassen. Dies stellt sicher, dass Ihre Einstellungen stets den aktuellen Sicherheitsstandards entsprechen.
Warum ist das wichtig?
Sicherheitseinstellungen müssen kontinuierlich den neuesten Bedrohungen und Risiken angepasst werden, um Datenlecks und andere Sicherheitsverletzungen zu vermeiden.
Wie wird das umgesetzt?
Dies sollte durch regelmässige Sicherheitsüberprüfungen und Beratungen von Experten in IT-Sicherheit und Datenschutz erfolgen, die Ihnen dabei helfen, stets starke und effektive Sicherheitsmassnahmen zu implementieren.
Wer kann das für Sie tun?
Fachkundige IT-Dienstleister oder Ihre interne IT-Abteilung sollten hierfür verantwortlich sein.
Bei der Einführung neuer Software ist stets vorab eine Risikoanalyse durchzuführen. Diese Analyse dient dazu, mögliche Risiken zu identifizieren, die mit der Nutzung der Software verbunden sein könnten. Abhängig von den Ergebnissen dieser Risikobewertung kann zudem eine Datenschutzfolgeabschätzung erforderlich sein (Art. 22 DSG), besonders wenn die Software personenbezogene Daten verarbeitet und damit potenzielle Datenschutzrisiken birgt.
Eine Risikoanalyse umfasst üblicherweise mehrere Schritte: Zunächst wird das Szenario, in dem die Software eingesetzt wird, genau untersucht. Es folgt die Identifikation und Bewertung aller denkbaren Risiken, die sich aus der Nutzung der Software ergeben könnten. Diese Risiken werden dann nach ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen kategorisiert. Auf Basis dieser Informationen werden Massnahmen entwickelt, um die Risiken zu minimieren oder gänzlich zu vermeiden. Dieser Prozess hilft, den sicheren und konformen Einsatz der Software im Unternehmenskontext sicherzustellen.
Bei der Durchführung einer Risikoanalyse und einer Datenschutzfolgeabschätzung können verschiedene Experten hilfreich sein:
Eine Zusammenarbeit der genannten Fachleute ist zu empfehlen, um ein umfassendes Bild der Risiken und erforderlichen Schutzmassnahmen zu erhalten und so die sichere Einführung neuer Software zu gewährleisten.
Der EDÖB hat in diesem Zusammenhang ein Merkblatt zur Vorgehensweise bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) veröffentlicht. Dieses können Sie unter folgendem Link einsehen:
https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/2023/dsfa.html
Für die Sicherstellung von Transparenz und die Einhaltung gesetzlicher Bestimmungen ist es unerlässlich, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die personenbezogene Daten betreffen. Dies gilt auch für die Datenverarbeitung, die im Rahmen des Einsatzes von Microsoft 365 erfolgt. Alle Verarbeitungstätigkeiten, die Sie im Zusammenhang mit Ihrem Unternehmen durchführen, müssen in diesem Verzeichnis erfasst werden.
Gesetzestext und Handlungsempfehlungen:
Nach Artikel 22 DSG sind Unternehmen verpflichtet, ein solches Verzeichnis zu führen. Es sollte nicht nur die Art der Daten und den Zweck der Verarbeitung dokumentieren, sondern auch die betroffenen Personengruppen und die Datenempfänger auflisten. Dieses Verzeichnis ist regelmässig zu aktualisieren und bei der Implementierung neuer Tools oder Verarbeitungsaktivitäten entsprechend anzupassen.
Was macht ein Verzeichnis von Bearbeitungstätigkeiten?
Ein Verzeichnis von Bearbeitungstätigkeiten dient dazu, einen Überblick über alle Prozesse zu bieten, bei denen personenbezogene Daten verarbeitet werden. Es hilft nicht nur dabei, die Bearbeitungsvorgänge innerhalb eines Unternehmens transparent zu machen, sondern auch dabei, regulatorischen Anforderungen nachzukommen. Das Verzeichnis ist somit ein zentrales Instrument zur Risikoverwaltung und -überwachung in Bezug auf den Datenschutz.
Expertenunterstützung bei Risikoanalysen und Datenschutzfolgeabschätzungen:
Bei der Durchführung einer Risikoanalyse und Datenschutzfolgeabschätzung sind verschiedene Experten wie Datenschutzberater, IT-Sicherheitsexperten, Rechtsberater und spezialisierte Beratungsfirmen erforderlich. Sie arbeiten zusammen, um Risiken zu identifizieren und Schutzmassnahmen zu entwickeln, die die Einhaltung der Datenschutzgesetze gewährleisten und die Sicherheit der Softwarenutzung sicherstellen.
Erstellen Sie ein Berechtigungskonzept. Ein effektives Berechtigungskonzept stellt sicher, dass Inhalte nur von Personen eingesehen werden können, die dazu autorisiert sind. Die Verwaltung und Vergabe dieser Zugriffsrechte, muss zentral durch eine verantwortliche Person oder Abteilung gesteuert werden, um den Zugang adäquat zu regeln und bei Bedarf einzuschränken. Somit entsprechen Sie auch dem in der DSG geforderten Grundsatz der Datenminimierung. Nur die Personen haben Zugriff auf die Daten, die Sie unbedingt benötigen.
In Microsoft 365 E5 sind umfangreiche Funktionen zur Rechteverwaltung und zum Zugriffsmanagement enthalten. Diese Suite bietet erweiterte Sicherheitsfeatures, die es Administratoren ermöglichen, Berechtigungen präzise zu steuern und zu überwachen. Dazu gehören Tools zur Identitäts- und Zugriffsverwaltung, die sicherstellen, dass nur berechtigte Nutzer Zugriff auf bestimmte Informationen und Ressourcen haben. E5 beinhaltet zudem erweiterte Compliance- und Sicherheitsmassnahmen, die besonders für Unternehmen mit hohen Sicherheitsanforderungen geeignet sind.
Schulungen allein reichen nicht aus. Es ist ebenso wichtig, die Mitarbeiter umfassend darüber zu informieren, welche Tools sie nutzen, zu welchem Zweck diese eingesetzt werden und welche datenschutzrechtlichen Herausforderungen dabei auftreten können. Zusätzlich sollten sie lernen, wie sie auf spezifische Probleme reagieren können. Ein praktisches Beispiel hierfür ist der Umgang mit Links: Mitarbeiter müssen geschult werden, Links sicher zu erkennen und weiterzugeben, um zu verhindern, dass unberechtigte Personen Zugang zu sensiblen Informationen erhalten. Praxisorientierte Online-Schulungen, die speziell auf die Bedürfnisse der Mitarbeiter abgestimmt sind, spielen eine entscheidende Rolle dabei, das Bewusstsein für Datenschutzpraktiken zu schärfen und einen sicheren Umgang nicht nur mit Microsoft 365 zu gewährleisten, sondern mit allen technischen Anwendungen, die im Arbeitsalltag genutzt werden.
Es ist essentiell, sich auf Ihren IT-Dienstleister zu verlassen, wenn es um die Durchführung administrativer Einstellungen geht. Dabei sollten Sie besonders darauf achten, ob der Dienstleister entsprechende Microsoft Zertifizierungen besitzt, die seine Kompetenz und Vertrauenswürdigkeit im Bereich IT-Sicherheit und Datenschutz bestätigen. Um sicherzustellen, dass eigene Administratoren die Datenschutz- und Sicherheitseinstellungen effektiv verwalten können, sind speziell entwickelte Online-Schulungsprogramme erforderlich, die ihnen das notwendige Wissen vermitteln. Ein guter Hinweis hierfür ist, dass der entsprechende Dienstleister z.B. eine Zertifizierung als CSP-Partner oder LAR-Partner hat.
Ein Dokumentenmanagementsystem (DMS) ist eine unverzichtbare Lösung für die sichere Verwaltung von personenbezogenen Daten. Durch die Implementierung eines DMS, das den Datenschutzbestimmungen entspricht, gewährleisten Unternehmen einen sicheren Umgang mit sensiblen Informationen. Diese Massnahme ist grundsätzlich von entscheidender Bedeutung, da sie sicherstellt, dass die Nutzung von Microsoft 365 und anderen Programmen, nicht nur effizient, sondern auch vollständig datenschutzkonform ist.
Je nach den Anforderungen Ihres Unternehmens und Ihrem Budget können Sie das für Sie passende DMS auswählen. Es ist ratsam, eine gründliche Recherche durchzuführen und gegebenenfalls Fachleute oder Berater hinzuzuziehen, um die beste Lösung für Ihre Bedürfnisse zu finden.
Die Datenschutzkonformität von Microsoft 365 ist ein kontroverses Thema, das weiterhin Diskussionen hervorrufen wird. Doch durch die Berücksichtigung der empfohlenen Richtlinien ist eine datenschutzkonforme Nutzung möglich.
Die Auswahl der passenden Datenschutzstrategie ist dabei von entscheidender Bedeutung und erfordert eine gründliche Auseinandersetzung mit den Bedürfnissen Ihres Unternehmens, sowie den dazu nötigen Werkzeugen. Dies umfasst die Festlegung von Zielen sowie die Auswahl und Konfiguration der richtigen Produkteinstellungen, um die Datenschutzkonformität zu gewährleisten.
Eine fundierte Entscheidung basiert auf einer detaillierten Analyse der damit verbundenen Risiken und Vorteilen, wobei es empfehlenswert ist, sich hierbei von Experten beraten zu lassen. Eine Diskussion mit dem Datenschutzberater oder rechtlichen Beratern kann dabei helfen, eine wohlüberlegte Entscheidung zu treffen.